7.3命名的扩展的IP访问控制列表配置实验

7.3命名的扩展的IP访问控制列表配置实验

7.3.1 实验目的

掌握扩展IP访问控制列表的配置。

7.3.2 背景描述

在校园网中，学校希望学生在做实验时只能访问FTP服务器而不可以上网和访问教师办公室。教师没有限制。机房实验室所在网段是172.16.1.0/24，教师办公室所在网段是172.16.2.0/24。要求网络管理员按照需要，实现对网络服务访问的安全控制。

7.3.3 实验设备

• 一台RG-S3760三层交换机，一台RG-R1700系列路由器
• PC机三台（其中一台作为机房实验室计算机，一台作为教师办公室计算机,另一台用于打开http://122.204.85.91_6:8080网页，进行设备配置）
• 直通和交叉双绞线若干

7.3.4 实验拓扑图

实验拓扑如图4-2所示：

图4-2  扩展的IP访问控制列表配置

7.3.5 实验步骤

要实现所需的访问控制，有两种方法。

一种是通过在三层交换机的f0/1接口上配置扩展访问控制列表，通过指定分组的源地址和目的地址和协议类型、端口号来实现机房实验室对FTP服务器的访问并拒绝机房实验室访问Internet。

另一种是通过在路由器的f1/0接口上配置标准访问控制列表，拒绝来自172.16.1.0网段的访问。

这两种方法种比较好的方法是第一种。当这个扩展ACL被放在交换机的F0/1端口上，被拒绝的分组就不能通过交换机到达路由器了，这样就减少了交换机和路由器间的通信流量，而其他源地址和目的地址的流量仍然被允许通过。

放置ACL的一般原则是，尽可能把扩展ACL放置在距离要被拒绝的通信流量最近的地方。标准ACL由于不能指定目的地址，所以它们应该尽可能放置在距离目的地最近的地方。

1. 基本配置

参照实验拓扑图配置好各网段IP。

测试配置访问控制列表前的网络互访

2. 配置扩展访问控制列表

在全局配置模式下，创建ACL

Center(config)#ip access-list extended student （定义扩展名为student的访问控制列表）

Center(config-ext-nacl)# deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.1 eq www

Center(config-ext-nacl)# deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

Center(config-ext-nacl)# permit ip any any

3. 把访问控制列表应用到具体接口。

Center(config)#interface f0/1

Center(config-if)#ip access-group student in

Center(config-if)#no shut

Center(config-if)#exit

4. 验证测试

在作为机房实验室计算机的PC机上访问服务器、教师办公室、internet来测试网络访问。

5. 配置详解
   1. 配置扩展的访问控制列表的第一条语句，定义了命名访问控制列表的名字。
   2. 配置扩展的访问控制列表的第二条语句，定义了拒绝172.16.1.0网段的www服务。
   3. 配置扩展的访问控制列表的第三条语句，定义了拒绝172.16.1.0网段访问172.16.2.0网段。
   4. 配置扩展的访问控制列表的第四条语句，允许其他流量通过。
6. 注意事项

1. 配置完访问控制列表后要在接口下应用。
2. Deny某个网段后要permit其他网段。